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DISPOSITIP POUR LA LIMITATION DE FRAUDES DANS UNE CARTE 

A CIRCUIT INTEGRE 

La presente invention concerne un dispositif a circuit integre 
contenant une zone memoire comprenant une memoire de donnees. 

Un tel dispositif a circuit integre est le plus souvent utilise pour 
des applications dans lesquelles la securite du traitement 
d'informations est essentielle. II s'agit en particulier de cartes a circuit 
integre comportant des applications concernant le domaine de la sante, 
de la telephonie mobile, ou encore, des applications relatives au 

domaine bancaire. 

Une carte a circuit integre se compose d*un corps de carte 
plastique dans lequel est incorpore un module electronique. Ladite carte 



communique avec un terminal, par exemple, un telephone mobile, un 
terminal bancaire ou encore un ordinateur, via un reseau de 
communication et peut envoyer des messages contenant une 
information chiffree audit terminal via ce reseau afin de securiser un 
transfert d'informations. Dans le langage courant, on dit que le message 
est signe. Pour le calcul de Information chiffree, la carte utilise une 
clef secrete de codage qui se trouve dans la memoire de donnees de sa 
zone memoire et un algorithme de cryptage. 

Bien que le transfert d'informations soit ainsi securise, une carte 
a circuit integre reste vulnerable dans la mesure ou un fraudeur peut 
effectuer un grand nombre d'actions sur la carte qui vont lui permettre 
de percer ses secrets. Ainsi, ledit fraudeur, desirant trouver ladite clef 
de codage, peut par exemple envoyer une instruction de signature d'un 
message a ladite carte et conserver la trace des signaux engendres lors 
de l'execution de ladite instruction. Par la suite, il peut envoyer un 
grand nombre destructions de signature du meme message, soumettre 
la carte a des perturbations electromagnetiques a des instants precis du 
deroulement dudit algorithme et conserver les traces des differents 
signaux emis. En etablissant une correspondance entre les traces de 
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signaux obtenues lors de perturbations et la premiere trace, led* 
fraudeur peut etudier les differences ou l'absence de differences entre 
les diverses informations chiffrees obtenues pour decouvrir une partie 
de la clef de codage. Ainsi, malgre le transfert deformations securisees 
5 assure par la carte, ledit fraudeur peut tout de meme acceder a des 
informations confidentielles en effectuant un nombre tres important 
d'actions sur la carte a circuit integre. 

Aussi, un probleme technique a resoudre par l'objet de la 
presente invention est de proposer un dispositif a circuit integre 
10 contenant une zone memoire comprenant une memoire de donnees, 
dispositif qui permettrait de mieux securiser la carte en limitant le 
nombre d'actions possibles sur la carte de la part dMn fraudeur. 

Une solution au probleme technique pose consiste, selon la 
presente invention, en ce que ladite memoire de donnees contient au 
15 moins un element compteur, au moins un element indicateur et au 
moins une valeur seuil, ledit element compteur comptant, dMne part, 
au moins un nombre d'occurrences d'evenements survenus dans ledit 
dispositif, et, etant, d'autre part, susceptible d'atteindre ladite valeur 
seuil indicatrice dMn nombre maximum eleve d'occurrences desdits 
20 evenements, ledit element indicateur etant apte a passer dMn premier 
etat a un second etat lorsque ledit element compteur a atteint ladite 
valeur seuil. 

Ainsi, comme on le verra en detail plus loin, le dispositif de 
Invention permet de limiter un nombre d'actions ou d'evenements 

25 possibles sur ladite carte a circuit integre grace, dMne part, a un 
element compteur qui comptera le nombre d'actions effectuees en 
prenant en compte une action ou un groupe d'actions, et, d'autre part, 
grace a un element indicateur qui indiquera quMne valeur seuil 
d'occurrences d'evenements ou d'actions a ete atteinte ce qui permettra 

30 par la suite de sanctionner un prochain depassement de ladite valeur 
seuil. 
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La description qui va suivre au regard des dessins annexes, 
donnes a titre d'exemples non limitatifs, fera bien comprendre en quoi 
consiste l'invention et comment elle peut etre realisee. 

La figure 1 est un schema d'un dispositif a circuit integre selon 
l'invention, ici une carte a circuit integre. 

La figure 2 est un schema representant une zone memoire de la 
carte de la figure 1 selon l'invention. 

La figure 3 est un schema montrant une repartition d'elements 
compteurs et indicateurs dans la zone memoire de la figure 2. 

La figure 4 est un schema montrant une autre repartition 
d'elements compteurs et indicateurs dans la zone memoire de la figure 
2. . 



La figure 5 est un schema d*une autre mise en oeuvre de 
l'invention, ladite zone memoire de la figure 2 contenant deux elements 

indicateurs identiques. 

La figure 1 montre un dispositif 10 a circuit integre, une carte a 
circuit integre dans l'exemple de realisation represente. 

Cette carte 10 contient un element 11 de commande (par exemple 
une unite centrale de traitement ou CPU), une zone memoire 12 
contenant une memoire 14 de donnees, et un bloc 13 de contacts 
destine a une connexion electrique avec par exemple un connecteur 

d'un lecteur de cartes . 

Ladite zone memoire 12 est representee sur la figure 2. Elle 
contient un element compteur CPT, une valeur seuil VS, un element 
indicateur I et un moyen Mb de blocage, ledit element indicateur etant 
apte a passer d'un premier etat el a un second etat e2 lorsque ledit 
element compteur a atteint ladite valeur seuil. Au cours de lMtilisation 
de ladite carte, plusieurs evenements peuvent se produire, un 
evenement etant une action qui se produit dans ledit dispositif et qui 
aboutit a un resultat et dont on peut determiner un nombre moyen 
d'occurrences dans utilisation dudit dispositif. Ainsi, par exemple, une 



10 



4 

mise sous tension est un evenement qui aboutit a l'envoi par la carte 
dMn message, couramment appele reponse au reset. L'envoi dMn 
message signe est egalement un evenement. 

Au cours de utilisation dMne carte, pour une application 
particuliere, on peut determiner un nombre moyen d'evenements qui 
peuvent se produire, par exemple du type envoi de messages signes. 
Ainsi, pour une application bancaire, sur une periode d'environ deux 
ans representant la duree de vie dMne carte bancaire, il y aura en 
moyenne trois cent messages signes pour une carte appartenant a un 
utilisateur utilisant sa carte environ trois fois par semaine et six cent 
pour un utilisateur rutilisant environ cinq fois par semaine. 

Sur la figure 2, l'element compteur CPT compte au moins un 
nombre d'occurrences d'evenements survenus dans la carte, le nombre 
d'occurrences de messages signes par exemple. Ledit element compteur 
L5 est susceptible d'atteindre la valeur seuil VS indicatrice dMn nombre 
maximum eleve d'occurrences desdits evenements. Dans le cas ou la 
carte a circuit integre comporte une memoire non reinscriptible (ROM), 
une memoire inscriptible (EPROM) et une reinscriptible (EEPROM), la 
valeur seuil VS, etant fixe, pourra se trouver dans lMne de ces trois 
20 memoires, lesdites memoires etant au sens du brevet une memoire de 
donnees, tandis que les elements compteurs et indicateurs se 
trouveront dans une memoire reinscriptible, leur valeur etant variable. 

Dans le cadre de l'invention, ladite valeur seuil represente un 
nombre improbable d'occurrences desdits evenements se produisant 
25 dans ledit dispositif lors dMn usage normal dudit dispositif. De maniere 
a deceler un usage frauduleux du dispositif, ledit nombre maximum 
d'occurrences d'evenements est choisi eleve car il represente un nombre 
improbable d'occurrences d'evenements et ainsi, ledit nombre 
maximum eleve d'occurrences d'evenements a une valeur superieure a 
30 environ cent, preferentiellement superieure a environ mille. Avec ces 
valeurs, on peut tenir compte de differents evenements dans differentes 
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applications. Dans l'exemple precite, on sait qu'il est improbable que 
deux mille occurrences de messages signes puissent se produire entre 
la carte et un terminal bancaire. Aussi, dans ce cas, la valeur seuil aura 
comme definition le nombre deux mille. Si un tel cas se produit, il est 

5 fort probable qu'un fraudeur essaye de percer les secrets de ladite carte. 

Aussi, pour prevenir les fraudes, lorsque ledit element CPT a 
atteint ladite valeur VS, ledit element indicateur I passe d*un premier 
etat el a un second etat e2, on dit que l'element I passe d*un etat passif 
a un etat actif et, de plus, le dispositif selon l'invention prevoit que 

10 ladite zone memoire 12 comporte un moyen Mb de blocage du 
fonctionnement dudit dispositif lorsqu*un element indicateur est passe 
dans le second etat e2. Ainsi, si on atteint deux mille occurrences de 



messages signes, un element I est active et ledit moyen Mb de blocage, 
apres avoir verifie l'etat dudit element I, bloque ladite carte qui ne peut 

15 plus soit, recevoir ou produire aucun evenement de meme nature que 
celui qui a active l'element indicateur, ici un evenement de type 
message signe, soit, recevoir aucun evenement ni effectuer aucune 
action quelle qu'elle soit. Dans le dernier cas, ladite carte est 
inutilisable et on dit couramment que la carte est muette. 

20 Suivant un premier mode de realisation dudit dispositif selon 

l'invention, un element compteur est defini pour un unique evenement. 

Ainsi, sur la figure 3, l'element compteur CPT1 est defini pour 
l'evenement El, l'element CPT2 pour l'evenement E2 et l'element CPT3 
pour l'evenement E3. 

25 Cependant, bien que des evenements puissent etre de nature 

differente, leurs nombres d'occurrences dans la vie d*une carte peuvent 
etre du meme ordre et par suite leurs nombres improbables 
d'occurrences peuvent etre identiques. En consequence, on peut vouloir 
les regrouper dans une meme famille. Par exemple, on peut dire que 

30 l'envoi de messages signes fait partie de la meme famille que l'envoi de 
messages cryptes. Aussi, suivant un deuxieme mode de realisation 
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dudit dispositif selon l'invention, un element compteur est defini pour 
au moins deux evenements, lesdits evenements faisant partie dMne 
meme famille. Ainsi, selon le schema de la figure 4, les elements 
compteurs CPTl et CPT2 sont definis respectivement pour les deux 
families d'evenements (El, E2, E3) et (E4, E5). 

Dans les deux modes de realisation, l'invention prevoit qu*une 
valeur seuil est definie pour chaque element compteur. Ainsi, cela 
revient a avoir, soit les valeurs VSl, VS2 et VS3 respectivement 
associees a chaque evenement comme dans le cas de la figure 3, soit les 
valeurs VSl et VS2 respectivement associees a chaque famille 
d'evenements comme dans le cas de la figure 4. LorsquMn element CPT 
a atteint sa valeur seuil VS, des elements indicateurs indiquent que le 
nombre maximum d'occurrences d'evenements autorises represent* par 

la valeur seuil VS a ete atteint. 

Dans les deux modes de realisation precites, il existe deux 
variantes de realisation desdits elements indicateurs. 

Dans une premiere variante de realisation montree a la figure 3, 
le dispositif selon l'invention prevoit qu'au moins un element indicateur 
I est defini pour un unique element compteur CPT. Ainsi, lorsque 
I'element compteur CPTl atteint la valeur seuil VSl, I'element 
indicateur II passe dans le second etat e!2. Le moyen Mb de blocage 
verifie l'etat dudit element II et des que celui-ci est passe dans le 
second etat, il bloque ladite carte, il en est de meme avec les elements 12 
et 13. 

Dans une deuxieme variante de realisation montree a la figure 4, 
le dispositif selon l'invention prevoit qu'au moins un element indicateur 
I est defini pour au moins deux elements compteurs CPT. Ainsi, 
lorsqu-un des elements CPTl ou CPT2 atteint respectivement sa valeur 
seuil VSl ou VS2, I'element II passe de l'etat ell a l'etat el2 ce qui 
30 indique qu«une fraude a eu lieu et en consequence, le moyen Mb bloque 
la carte. 
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Ainsi, suivant ces deux modes de realisation et ces deux variantes 
de realisation associees, on limite le nombre d'occurrences 
d'evenements se produisant dans une carte et par suite le nombre 
d'actions possibles sur la carte de la part d*un fraudeur. 

5 Cependant, un fraudeur pourrait modifier l'etat d*un element 

indicateur en le rendant passif s'il etait actif auparavant, avant meme 
que le moyen Mb n'ait pu bloquer ladite carte et par suite il pourrait en 
toute impunite continuer a percer les secrets de ladite carte. 

Aussi, ladite memoire 14 de donnees dudit dispositif selon 

10 l'invention contient au moins deux elements indicateurs identiques se 
trouvant a des emplacements non contigus de ladite memoire de 

donnees,— lesdits— elements__ etant rattaches au meme ensemble 
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d'elements compteurs contenant un ou plusieurs compteurs suivant les 
deux variantes precitees en relation avec les figures 3 et 4. Comme le 
montre la figure 5, l'element indicateur I'l est identique a II dans la 
mesure ou ils sont tous deux rattaches aux elements CPT1 et CPT2 et 
ils passent en meme temps d*un premier etat a un second etat lorsque 
n'importe lequel de ces deux elements compteurs a atteint sa valeur 
maximum. De plus, lesdits elements indicateurs se trouvent dans la 
memoire 14 de donnees de ladite carte a des endroits non contigus ce 
qui permet d'eviter une fraude qui consistent a changer l'etat de tous 
les elements indicateurs identiques actifs, ladite fraude etant facilitee 
par le fait que les elements seraient a des emplacements tres proches 
l'un de l'autre. Aussi, meme si un fraudeur arrive a changer l'etat d'un 
25 element I en le rendant passif, les autres elements indicateurs 
identiques resteront actifs car, dans ce cas, il sera improbable pour ledit 
fraudeur de trouver l'emplacement de tous les elements indicateurs 
identiques. 

Par ailleurs, le dispositif selon l'invention prevoit que ledit moyen 
30 Mb de blocage bloque le fonctionnement dudit dispositif lorsque l'etat 
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d'un element indicateur est different de l'etat d*un autre element 
indicateur identique. L'action du fraudeur est ainsi contree. 

On notera que dans tous les cas, les valeurs des premiers etats 
des elements indicateurs pourront etre equivalentes ou differentes entre 
elles. II en sera de meme pour les valeurs des seconds etats. 

C'est ainsi que grace aux deux modes de realisation, aux deux 
variantes de realisation des elements indicateurs et ainsi qu'au systeme 
d'elements indicateurs identiques, le dispositif selon Invention permet 
de mieux securiser la carte en limitant le nombre d'actions possibles 
sur celle-ci de la part d*un fraudeur. 
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REVINDICATIONS 

1 - Dispositif a circuit integre contenant une zone memoire 
comprenant une memoire de donnees, caracterise en ce que ladite 
memoire de donnees contient au moins un element compteur, au 
moins un element indicateur et au moins une valeur seuil, ledit 
element compteur comptant, d\ine part, au moins un nombre 
d'occurrences d'evenements survenus dans ledit dispositif, et, 
etant, d'autre part, susceptible d'atteindre ladite valeur seuil 
indicatrice d"un nombre maximum eleve d'occurrences desdits 
evenements, ledit element indicateur etant apte a passer d\m 
premier etat a un second etat lorsque ledit element compteur a 



atteint ladite valeur seuil. 

2 - Dispositif selon la revendication 1, caracterise en ce qu'un 
evenement est une action qui se produit dans ledit dispositif et 
qui aboutit a un resultat et dont on peut determiner un nombre 
moyen d'occurrences dans la vie dudit dispositif. 

3 - Dispositif selon l'une des revendications precedentes, 
caracterise en ce que ladite valeur seuil represente un nombre 
improbable d'occurrences desdits evenements se produisant dans 
ledit dispositif lors d*un usage normal dudit dispositif. 

4 - Dispositif selon l'une des revendications precedentes, 
caracterise en ce qu'une valeur seuil est definie pour chaque 
element compteur. 

5 - Dispositif selon l'une des revendications precedentes, 
caracterise en ce qu'un element compteur est defini pour un 
unique evenement. 

6 - Dispositif selon l'une des revendications 1 a 4, caracterise en 
ce qu'un element compteur est defini pour au moins deux 

30 evenements. 
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7 - Dispositif selon lMne des revendications precedentes, 
caractense en ce qu'au moins un element indicateur est defini 
pour un unique element compteur. 

8 - Dispositif selon nine des revendications 1 a 6, caracterise en 
ce qu'au moins un element indicateur est defini pour au moins 
deux elements compteurs. 

9 - Dispositif selon rune des revendications precedentes, 
caracterise en ce que ladite memoire de donnees contient au 
moins deux elements indicateurs identiques se trouvant a des 
emplacements non contigus de ladite memoire de donnees. 

10 - Dispositif selon nine des revendications precedentes, 
caracterise en ce que ladite zone memoire comporte un moyen de 
blocage du fonctionnement dudit dispositif lorsquMn element 
indicateur est passe dans le second etat. 

11 - Dispositif selon les revendications 9 et 10, caracterise en ce 
que ledit moyen de blocage bloque le fonctionnement dudit 
dispositif lorsque l'etat d«un element indicateur est different de 
l'etat d*u"n autre element indicateur identique. 

12 - Dispositif selon nine des revendications precedentes, 
caracterise en ce que ledit nombre maximum eleve d'occurrences 
d'evenements a une valeur superieure a environ cent, 
preferentiellement superieure a environ mille. 
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